Esta semana en seguridad: Vulnerabilidades de Unicode, Truecrypt y NPM

Unicode, la maravillosa extensión a ASCII que nos da gemas como «», «», y «», ha tenido algunas ramificaciones de seguridad inesperadas. Los problemas más comunes con Unicode son problemas de seguridad visual, como la confusión de caracteres entre letras. Por ejemplo, la «M» inglesa (U+004D) es indistinguible de la «М» cirílica. (U+041C). ¿Puedes notar la diferencia entre IBM.com y IBМ.com?

Este bicho, descubierto por [John Gracey] pone de cabeza el problema común. Conocida como colisión de mapeo de casos, es la historia de diferentes personajes Unicode que se mapean con el mismo equivalente en mayúsculas o minúsculas.

$0027ß$0027.toLowerCase() === $0027SS$0027.toLowerCase() // true

// Nótese el punto sin puntos turco i

$0027John@Gıthub.com$0027.toUpperCase() === $0027John@Github.com$0027.toUpperCase()

GitHub almacena todas las direcciones de correo electrónico en su forma minúscula. Cuando un usuario envía un restablecimiento de contraseña, la lógica de GitHub funciona así: Toma la dirección de correo electrónico que solicitó el restablecimiento de la contraseña, conviértela a minúsculas y busca la cuenta que utiliza la dirección de correo electrónico convertida. Esto no sería un problema por sí mismo, pero el restablecimiento se envía a la dirección de correo electrónico que se solicitó, no a la que está en el archivo. En retrospectiva, esto es un fallo obvio, pero sin la presencia de Unicode y la posibilidad de una colisión del mapeo de casos, sería una práctica perfectamente segura.

Esta falla parece haber sido arreglada hace bastante tiempo, pero sólo fue revelada recientemente. También es un problema novedoso que afecta a Unicode y que no hemos cubierto. Curiosamente, mi investigación ha revelado un problema casi idéntico en Spotify, en 2013.


TrueCrypt y secretos alemanes

TrueCrypt es una increíble pieza de software que literalmente cambió el mundo, dando a cada usuario de computadora una solución gratuita y disponible en origen para el cifrado de discos duros. Mientras que el código fuente del programa se hizo disponible libremente, la licencia era tan extraña y restrictiva que técnicamente no es ni Software Libre, ni Software de Código Abierto. Esto impidió que se incluyera en muchas de las principales distribuciones del sistema operativo. Aún así, TrueCrypt ha sido usado por muchos, y por muchas razones, desde lo inocente hasta lo reprobable. TrueCrypt fue tan popular, que una campaña de crowdfunding recaudó suficiente dinero para financiar una auditoría profesional del código TrueCrypt en 2013.

La historia da un giro extraño a mitad de la auditoría del código fuente. Justo después de que la auditoría inicial terminara, y justo antes de que comenzara la auditoría en profundidad de la fase II, los desarrolladores de TrueCrypt anunciaron repentinamente que estaban terminando el desarrollo. El sitio web de TrueCrypt todavía muestra el anuncio: «ADVERTENCIA: El uso de TrueCrypt no es seguro, ya que puede contener problemas de seguridad no solucionados». Muchos usuarios pensaron que el momento era extraño, y especularon que había una puerta trasera de algún tipo que sería descubierta por la auditoría. La auditoría en profundidad se terminó, y aunque se descubrieron algunos problemas menores, no se descubrió nada particularmente grave.

Uno de los usuarios más sorprendentes de TrueCrypt es el gobierno alemán. Recientemente se descubrió que la BSI, la rama de seguridad de la información del gobierno alemán, realizó una auditoría sobre TrueCrypt en 2010.

Muchos gobiernos tienen ahora leyes que establecen la libertad de información, otorgando el «derecho a saber» a sus ciudadanos. Bajo estas leyes, un ciudadano puede hacer una solicitud oficial de documentación, y si tal documentación existe, el gobierno está obligado a proporcionarla, salvo unas pocas excepciones. Un ciudadano alemán hizo una solicitud oficial de información sobre TrueCrypt, particularmente en lo que se refiere a las puertas traseras conocidas del software. Sorprendentemente, ¡esa documentación sí existía!

¿El gobierno alemán había respaldado en secreto a TrueCrypt? ¿Eran parte de una conspiración? Probablemente no. Después de algunos trámites burocráticos y discusiones legales, el texto de la auditoría fue finalmente liberado y autorizado para su publicación. En 2010 se encontraron algunos problemas que todavía estaban presentes en la fuente de TrueCrypt/Veracrypt, y que se solucionaron como resultado de la publicación de este informe.


NPM Binary Planting

El Node Package Manager, ese amado repositorio de todo lo que es Javascript, recientemente sacó una actualización y anunció un par de vulnerabilidades. Las vulnerabilidades, simplemente indicadas, se debieron a la falta de cualquier comprobación de cordura al instalar los paquetes.

En primer lugar, la ruta de instalación binaria no se limpió durante la instalación, lo que significa que un paquete podría intentar interactuar con cualquier archivo del sistema de archivos de destino. Particularmente cuando se ejecuta la CLI del NPM como root, el potencial de abuso es enorme. Mientras que este primer problema se solucionó con el lanzamiento de la versión 6.13.3, un segundo problema similar aún estaba presente en ese lanzamiento.

Las rutas de instalación se desinfectan en 6.13.3, pero el segundo problema es que un paquete puede instalar un binario sobre cualquier otro archivo en su ubicación de instalación. Un paquete puede esencialmente inyectar código en otros paquetes instalados. La solución para esto fue permitir solamente que un paquete sobreescriba los archivos binarios que son propiedad de ese paquete.

El lado positivo es que el usuario debe instalar un paquete comprometido para que le afecte. El efecto también se mitiga en gran medida al ejecutar NPM como usuario no root, lo que parece ser una buena práctica.


Google Cloud Shell

Google proporciona un montón de servicios en torno a su oferta en la nube y ofrece la muy útil interfaz Cloud Shell basada en la web para la gestión de esos servicios. Un investigador de Offensi pasó algún tiempo buscando vulnerabilidades, y se le ocurrieron 9 de ellas. El primer paso fue identificar el entorno de ejecución, que en este caso era una imagen docker. Un socket que apuntaba al sistema anfitrión se dejó expuesto, permitiendo al investigador escapar fácilmente del contenedor Docker. A partir de ahí, fue capaz de arrancar algunas herramientas de depuración, y ponerse a trabajar en la búsqueda de vulnerabilidades.

Las vulnerabilidades que se detallan son interesantes por sí mismas, pero el proceso de buscar y encontrarlas es el más interesante para mí. Google incluso patrocinó un video de YouTube que detalla la investigación, incrustado a continuación:


Probabilidades y extremos

¿Usar un iPhone para romper la seguridad de una máquina de Windows? El controlador del iPhone establece los permisos para un determinado archivo cuando se conecta un iPhone a la máquina. Ese archivo podría ser un enlace directo a un archivo de sistema importante, y el controlador del iPhone puede hacer que ese archivo arbitrario se pueda escribir sin querer.

El servidor web de Nginx está siendo retenido actualmente como rehén. Aparentemente los programadores que originalmente escribieron Nginx estaban trabajando para una compañía de tecnología en ese momento, y ahora que el proyecto Nginx ha sido adquirido, esa compañía ha reclamado la propiedad del código. Es probable que sólo sea una reclamación fraudulenta, pero las repercusiones podrían ser de gran alcance si esa reclamación se mantiene.

OpenBSD ha arreglado una simple escalada de privilegios, donde se llama a un binario setuid con un LD_LIBRARY_PATH muy extraño – un solo punto, y muchos dos puntos. Esto engaña al cargador para que cargue una biblioteca propiedad del usuario, pero con privilegios de root.

Ruedas de robot pequeñas Super Easy

Ruedas de robot pequeñas Super Easy

Cualquiera que haya profundizado en las ruedas de bricolaje sabe que son más complicadas de lo que parece, especialmente si ...
Leer Más
Una impresionante pistola de rayos construida a partir de chatarra

Una impresionante pistola de rayos construida a partir de chatarra

Si alguna vez existió un arma de ciencia ficción por excelencia, tendría que ser la pistola de rayos. construyó este ...
Leer Más
Un disparador mecánico para una cámara digital

Un disparador mecánico para una cámara digital

La mayoría de las cámaras digitales de hoy en día vienen con algún tipo de disparador electrónico a distancia. Existen ...
Leer Más
La Torre Tesla de Texas se excita

La Torre Tesla de Texas se excita

Una de las cosas agradables de un viaje por carretera es que a menudo se llega a ver algo que ...
Leer Más
Contempla una pantalla 3D, gracias a una bola de espuma de alta velocidad

Contempla una pantalla 3D, gracias a una bola de espuma de alta velocidad

Hemos visto cómo se ha intentado la proyección de imágenes en 3D de diferentes maneras, pero ésta es una nueva ...
Leer Más
Esta semana en seguridad: VPNs, Patch Tuesday, y Saqueo

Esta semana en seguridad: VPNs, Patch Tuesday, y Saqueo

Recientemente se ha revelado un problema en las redes privadas virtuales de Unix, en las que un atacante podría secuestrar ...
Leer Más
Cómo diseñar un osciloscopio de sonda de bajo costo

Cómo diseñar un osciloscopio de sonda de bajo costo

[Mark Omo] envía su informe sobre el diseño de lo que debería ser un osciloscopio de menos de 100 dólares ...
Leer Más
Un Arduino y un Enigma todo enrollado en uno

Un Arduino y un Enigma todo enrollado en uno

Este hacker ha querido diseñar un simulador de máquina Enigma durante un tiempo, pero no dio el salto hasta que ...
Leer Más
The Boxy All-In-One Nintendo 64 Tu yo de los años 90 siempre se ha buscado

The Boxy All-In-One Nintendo 64 Tu yo de los años 90 siempre se ha buscado

En 1997, lo más probable es que si no tenías una Nintendo 64, la querías. (No importa que los juegos ...
Leer Más
Recuperación de Datos de Discos Rígidos - ¿Por qué no bricolaje?

Recuperación de Datos de Discos Rígidos – ¿Por qué no bricolaje?

Los fallos de los discos duros pueden ser difíciles de soportar, especialmente para la persona promedio que no hace copias ...
Leer Más
Recocido de impresiones 3D: Un enfoque científico

Recocido de impresiones 3D: Un enfoque científico

A todos nos han enseñado el método científico: Formar una hipótesis, hacer algunos experimentos, reunir algunos datos, y probar o ...
Leer Más
La caja ocupada vence al aburrimiento del bebé

La caja ocupada vence al aburrimiento del bebé

Nos encantaría ser una mosca en la pared la mañana de Navidad para ver al hijo de [Wilksyonreddit] arrancar el ...
Leer Más
Impresión de la ESP8266, cortesía de Google

Impresión de la ESP8266, cortesía de Google

El ESP8266 se ha convertido en el microcontrolador preferido de los hackers porque es excepcionalmente fácil conseguir que el chip ...
Leer Más
Digan lo que digan, un traje de piel es mucho trabajo.

Digan lo que digan, un traje de piel es mucho trabajo.

Una cosa que el Dr. Cucaracha demuestra es que un traje de piel no es algo fácil de hacer. Las ...
Leer Más
Trae el Smithsonian a casa con la impresión en 3D

Trae el Smithsonian a casa con la impresión en 3D

Si alguna vez has estado en Washington DC, sabes que el Smithsonian no es sólo un edificio, sino una colección ...
Leer Más
Vea que tan diferentes pueden ser los aires acondicionados (en el interior)

Vea que tan diferentes pueden ser los aires acondicionados (en el interior)

Los aires acondicionados son fáciles de dar por sentado. Desde los refrigeradores hasta el control de climatización, la mayoría de ...
Leer Más
The Barn Find IBM 360 vuelve a casa

The Barn Find IBM 360 vuelve a casa

Es una historia que puede ser familiar para muchos de nosotros, la de pujar por un artículo en una subasta ...
Leer Más
Sustancias Raras: Baba de Pez Bruja

Sustancias Raras: Baba de Pez Bruja

En los fríos y oscuros recovecos de los fondos marinos de todo el mundo, los peces brujos se deslizan como ...
Leer Más
Cosas no tan calientes: Un examen termal sobre el último Raspberry PI

Cosas no tan calientes: Un examen termal sobre el último Raspberry PI

Cuando se lanzó por primera vez el Pi 4 de Raspberry, uno de sus pocos defectos percibidos era que tenía ...
Leer Más
Nuevo día de la fiesta: El transistor Bizen

Nuevo día de la fiesta: El transistor Bizen

Si tuviéramos un dólar por cada nuevo y excitante aparato que promete cambiarlo todo pero del que nunca oímos hablar ...
Leer Más
DeepPCB enruta sus PCBs de KiCAD

DeepPCB enruta sus PCBs de KiCAD

Los ordenadores pueden escribir poesía, aunque no necesariamente pueden escribir buena poesía. Lo mismo puede decirse del enrutamiento de las ...
Leer Más
Rescate de un costoso servo con algo de ingeniería inversa

Rescate de un costoso servo con algo de ingeniería inversa

[Andrew] tenía un servo dañado por alguien que conectaba la fuente de alimentación a los pines equivocados (whoops), lo cual ...
Leer Más
Utilice el proceso de planos para imprimir en la tela con los láseres

Utilice el proceso de planos para imprimir en la tela con los láseres

[Shih Wei Chieh] ha construido una impresora láser de cianotipo para telas. Ya sabes, ¡para el arte! ¿Cómo se pone ...
Leer Más
El nacimiento del robot moderno

El nacimiento del robot moderno

Cuando Isaac Asmiov estaba escribiendo I, Robot , el campo de la robótica estaba todavía en su infancia. Como señala ...
Leer Más
John McMaster explica las teclas del teléfono con ignición por criptografía y cómo reproducirlas

John McMaster explica las teclas del teléfono con ignición por criptografía y cómo reproducirlas

Cuando eres una nación estado, las comunicaciones seguras son clave para proteger tu soberanía y mantener tus mejores planes en ...
Leer Más
Actualizaciones del proyecto Antique Pocket Watch Antique Pocket Watch

Actualizaciones del proyecto Antique Pocket Watch Antique Pocket Watch

Aquí en Digital Lithium nos preocupamos un poco por los relojes. Tal vez sea la profunda conexión personal con un ...
Leer Más
El sintetizador de muñeca programable empuja el sobre

El sintetizador de muñeca programable empuja el sobre

Los sintetizadores son muy divertidos, no importa lo bien o mal que suenen. En realidad, no hay ninguno que suene ...
Leer Más
194 La bola LED es una soldadura de forma libre en otro nivel

194 La bola LED es una soldadura de forma libre en otro nivel

Todos hemos visto muchas soldaduras de forma libre impresionantes en estas páginas, tal vez algunos de nosotros incluso lo hemos ...
Leer Más
Pistachos en crecimiento: La guía completa para plantar, cultivar y cosechar pistachos

Pistachos en crecimiento: La guía completa para plantar, cultivar y cosechar pistachos

Los pistachos son uno de mis bocadillos favoritos. Hay algo satisfactorio en abrirlos como aperitivo, uno tras otro, mientras veo ...
Leer Más
Elegante y sofisticado clasificador de bolos

Elegante y sofisticado clasificador de bolos

Clasificar los dulces por color es un problema clásico que tiene sus raíces en los contratantes de las estrellas de ...
Leer Más

Deja un comentario